道格:
从意图 & 联合工作室,这是 不合适的. 面向企业家的管理金融服务播客, 终身商业领袖, 还有一些人已经准备好超越西装革履文化,寻求有意义的、可衡量的结果. 我是道格·豪瑟. 在这个每周一次的播客中,思想领袖和商业专家们会剖析复杂而平凡的话题, 并给你一些建议和见解,你需要成长为一个领导者,同时希望你的组织成长和繁荣. 如果你还没有订阅,请点击订阅按钮,这样你就不会错过未来的剧集了. 如果你想获得更多的信息, 显示记录, 独家内容, 请访问我们的网站WWW.776kingston.com . 播客并注册获取更新.
网络威胁和数据泄露的新闻越来越多. 当然,当这种情况发生在任何企业或所有企业时,这都是一件可怕的事情. 但当你的企业为政府工作时,情况就特别糟糕了. 这是国家安全问题. 国防部最近实施了网络安全成熟度模型认证,以帮助保护整个美国, 以及为国防部工作的企业. 泰Whittenburg], 雷亚网络安全和数据保护团队的高级团队成员在这里解释了CMMC是什么, 这对企业意味着什么, 以及企业主如何实施必要的流程以获得适当的认证. 欢迎回到 不合适的, Ty.
Ty:
道格,谢谢你再次邀请我. 非常感谢.
道格:
哦,总是. 很高兴你能来, 同时我也学到了很多东西, 我也有点害怕. 因为你可以看到所有这些东西就像我们在开头说的那样,它在新闻中越来越多地出现. 我们在几个月前的管道项目中看到了这一点. 你可以回到太阳风,然后... 但我认为这里的用词不当部分在于“天哪,他们真的只盯上了大公司。.当然, 我们会和CMMC一起讨论这个问题, 但实际上每个人都需要意识到这一点, 正确的?
Ty:
当然,当然. 如果你在做生意,而且你足够幸运,不需要使用任何类型的电子产品或技术,那么你可以认为这是一种祝福. 但如果你是另外95%依赖电子邮件的人, 依赖Slack或微软团队, 或者必须跨组织共享数据, 那你现在就感受到了痛苦.
道格:
是的. 说到这个, 我本人经营建筑和商业地产, 他们经常是事后才想到的, "Ah, 没人在乎一个年收入两千万的暖通空调承包商.或者,“他们没那么老练。. 有什么大不了的?“我知道我们最近确实有一些客户和潜在客户受到打击的例子. 我认为整个CMMC认证过程的有趣之处在于它适用于所有人, 无论大小. 正确的?
Ty:
正确的. 不管规模大小,当你想到它时,国防工业基础是巨大的. 你谈到了建筑, 有一些建筑公司在国防工业基地与国防部做生意. 事实上,我认为意图甚至有几个客户涉足这一特定领域. 所以你再也不能说:“我是大池塘里的一条小鱼.“我认为,如果你回想一下与塔吉特公司合作的暖通空调公司的情况,[听不清00:04:10]与信用卡公司在同一网络上. 那种说“好吧,没人要我”的日子已经一去不复返了.“我猜你现在是舞会上的美女了,不管是什么类型的... 不管是不是两千万.
道格:
绝对是的. 所以当我们考虑CMMC的要求时, 这不仅仅是与政府的直接关系. 它是? 你可以是一种间接的提供者,但仍然符合这些准则. 是这样吗??
Ty:
绝对. 所以你的主要承包商每个人都会想到诺斯普·格鲁曼公司或者西科斯基公司, 与政府签订合同的菲利普斯家族, 但现实是,他们就像世界上其他地方一样,依赖于小企业, 专卖店, 以及制造业或其他行业. 我猜你可以说出衣服之类的东西, 他们依靠这些人来帮助建设我们政府需要的部分设施. 无论是用于防御还是用于零售. 因此,这些小人物必须遵守联邦合同的关系,或者在某些情况下,他们可以接触到我们所谓的受控非机密信息.
道格:
那么我们来谈谈这个问题. 如果我是有人说可能是两到三步,我是一个相当小的, 也许是小众制造商或承包商. 突然间我听到了CMMC, 这对我来说意味着什么呢? 我什么时候要遵守这些规定?
Ty:
这是个好问题. 所以很多人,如果你是一个商业领袖,你在IT管理方面处于领先地位, 这与你的采购流程有关, 那你就主动出击了. 你在小报上谈论国防部有关采办或国防合同信息的信息,并看到CMMC对话发生在2018年和2019年. 所以你看到了未来. 否则,你就在池塘的另一边,这是一种涓滴效应. 你的初选说, “嘿, 为了让我能继续和你们做生意, 你必须提交这份自我评估. 有了这个自我评估,你必须有一个所谓的系统安全计划和一个行动里程碑计划:关于你将如何实现网络安全成熟度模型认证, 这对这份合同来说很合适."
所以我们有几个客户是后者. 他们被告知需要更新他们的NIST 800-171自我评估. 他们需要开始为达到任何成熟水平做准备. 在这个例子中,我说的是第三级成熟度. 如果有人在做质数的交易,他们是一个下标, 或者他们是一个潜艇的潜艇:他们必须提交一份NIST 800-171的自我评估. 他们不得不把它放到采购门户,他们称之为SPRS. 如果他们还没这么做,我的天哪,他们就得抓紧时间了.
你刚才说时间轴, 所以当你想到时间轴的时候,政府中没有人能以尤塞恩·博尔特或未来的田径明星的速度前进. 所以国防部在这方面很聪明. 他们说,“嘿...“他们在2019年10月提出了一项信息请求,要求长期实施维持网络安全成熟度模型的增长. RFI正在寻找一个独立的机构来帮助监督CMMC的管理. 这是第一步. 然后在2019年11月与国防部的会议之后, 非营利性认证机构成立. 所以现在你领导前进,我们进入2020年,他们创造了一些补充的东西. 这一切背后的力量创造了网络安全成熟度认证认可机构. 该认证机构与国防部负责采办的副部长合作国防部将CMMC模式推行到位. So-
道格:
问题.
Ty:
爬,不要走,对吧? So-
道格:
正确的. 所以我知道我们有你和几个同事有这个认证, 很多人现在都没这么做吗. 一次又一次, 如果我是一个典型的小企业主, 我们的客户群现在就在我面前. 这真的会影响到我,阻止我竞标机会. 与此同时, 如果我在游戏中走在前面,现在就开始做这件事,这对我来说也可能是一种竞争优势. 正确的?
Ty:
正确的. 它绝对可以是一个微分函数而不是一个负的. 你可以把它变成正的. 国防部说的一些事情是, “所有在2026财政年度结束前获得政府合同的人, 任何与国防部在太空做生意的人都需要具备一定的成熟度.“在1级之间:这将允许他们看到联邦合同信息. 成熟度3级是国防工业基地中每个人首当其冲的地方. 他们在哪里需要达到3级成熟度, 在那里他们可以接触到受控制的非机密信息. 然后是4级和5级成熟度,他们仍在努力解决这个问题. 我认为可能也会有一些关于安全许可的事情. 我们甚至在播客中与凯蒂·阿灵顿进行了讨论, 甚至可能有4级和5级成熟度. 成熟度等级4.1, 4.2, 4.3. 是的,得到颗粒状.
道格:
所以最好让像你这样的专家和我们的团队参与进来.
Ty:
绝对. 我认为你想要走在前面而不是后面. 这个行业里有很多人, 大公司,如果你想想我们之间的关系, 互联网提供商和类似的东西在欧洲战区围绕GDPR和类似的东西, 拖后腿的人. 不像GDPR, 你可以继续做生意,就像掷骰子一样,看你能不能赚到钱. 但是,如果企业不遵守CMMC,这将对企业的货币收入产生直接影响.
道格:
所以我们谈论准备这个. 您多次提到系统安全计划. 那到底是什么,里面有什么? 在我们的帮助下,一个人怎么能把这一切整合在一起?
Ty:
是的. 所以我不想给人留下亵渎神明的印象, 但它几乎是it技术的圣经, 你的政策, 你的程序, 你的过程. 这可能是一份冗长的文件. 它讨论了谁拥有什么过程. 它被执行了吗,如果它不适用于你? 你不仅有直接的政策... 大多数情况下,每个公司都有一名员工和一本手册. “你可以在上班时间这样做,但你不能这样做. 这就是病假的样子.“你可以这样想. 这是你的行军命令,告诉你如何与你的IT做生意,以及如何控制你可以访问的信息. 根据您的成熟度级别,成熟度级别1不需要系统安全计划. 所以如果你是一个小公司, 妈妈和爸爸, 或者是为DO或DOD领域的特定供应商提供专业服务的家族企业, 或者直接和他们在一起. 只要你有一些特别的东西,你就没事.
但一旦招标书控制了其中的非机密信息, 你必须展示这种文化. SSP为你描绘了这种文化,围绕着什么是政策? 人们是怎么做的? 如果你和我明天要进入一个需要达到3级成熟度的企业,我们需要看到当有人进入大楼时的物理安全, 你必须要有访客证. 你得签到,你得把警徽还回去. 所有这些过程都必须被记录下来并进行演示, 不只是通过一张纸说你做了,而是通过你自己的行动. 你必须言行一致.
道格:
我们遇到了这个. 我知道你们见过很多公司, small, 中型自营企业表示, “嗯, 我有一个托管服务提供商来做这个. 我的IT适合我吗. 我相信他们会处理好这件事的.“但情况显然不是这样,对吧?
Ty:
No. 围绕情境领导力的领导力思维过程是怎样的? 你指导,你指导,你支持,你委派. 这是企业所有者不能简单授权的问题之一. 他们仍然需要保持某种形式的领导力来指导和指导整个团队, 他们需要被告知. 我的爸爸, 我爱死他了, 我十几岁的时候,他常说, “对法律的无知不能成为借口.“不知道组织中IT部门正在发生什么, 无论你是大是小都不是借口. 大型组织和上市公司也有萨班斯-奥克斯利法案, GLBA管理他们.
我认为CMMC将其提升到了一个全新的水平, 无论你是小企业, 中型企业, 甚至是大型企业. 这是一个公平的竞争环境,以确保那些想要了解我们的政府在做什么,或者我们是如何建设的人,不容易获得这些信息. 有点像我们的总统昨天坚决反对,他说, “如果你使用网络, 我们将通过网络予以回应.“我并不是说我们已经到了那个特定的地步, 但我认为,如今的商界领袖必须更加认识到自己的数字足迹是什么. 他们的数据主权是什么. 不要对他们过去的运作方式漠不关心,而是把所有的事情都交给别人来做, 然后洗手不干.
道格:
是的. 我们见过很多这样的事情, 公司可能不想把额外的流程和程序放在适当的地方. 因为他们... 而是,“哦,好吧,这有点痛苦. 我不想使用多因素认证. 该死,我不能... 我只能记住那么多密码之类的.“那么,当你拥有这样一家公司时,你从哪里开始呢? 你会进去做一个初步评估吗? 你从哪里开始这个过程呢?
Ty:
这也是一个很好的问题. 我认为对我们来说, 自我评估表, NIST 800-171确实为你如何参与制定了路线图. 这就是你的差距分析. 当你想到会计世界时,有些人会想到审计之类的东西. 我们的团队与审计团队一起参与审计的财务方面的IT部分. 这个800-171也很有深度. 这取决于你需要达到什么水平, 我们可以确定你做这些事情是临时的, 您的组织是否了解风险? [听不清00:16:31]在一个相对的水平上做它们,你是否在那个特定的空间里建造? 这里面有很多东西. 你不能只买一个软件解决方案或一件设备,就认为你会在那里.
我们正在研究软件背后的逻辑. 我们关注的是硬件. 我们正在研究它的文化方面. 你的人是如何日复一日地使用它的. 这就像日本人所说的“站成一圈”.“就像一个改善事件. 日本人称它为玄叶. 我不想搞砸了,也许是玄叶. 你站在圆圈里,走到工作发生的地方,观察它. 如果你没有做到这些,拨打800-171就会发现. 然后,它允许你识别这些差距,并讨论你需要采取的控制措施,以确保你在做正确的事情. 不仅是为了保护政府, 但最终你是在保护你的知识产权. 确保你有一个专门的收入来源,这对很多人来说都是非常有益的. 因为我们都知道,政府喜欢买很多东西.
道格:
是的. 这也是问题所在. 我们试着和客户讨论这个问题. 当你想要转型的时候, 特别是当你看到某种类型的第三方交易时. 不管是对这个行业的其他人, 战略买家, 私人股本, whatever; they're going to really pay attention to these things. 因为如果你再次, 良好的流程和程序,提高你的运作价值. 正确的?
Ty:
完全. 你知道吗?, 如果你在找网络保险, 如果你是一个好司机,你有良好的信用评级, 你可以在保险上得到更好的驾驶折扣.
道格:
绝对.
Ty:
好吧, 如果你认真对待你的网络,你需要购买网络保险, 这应该会给你带来一些积极的影响. 根据你所在的州,俄亥俄州有俄亥俄州安全港法,S.B. 220 .各州对企业的友好程度高于对消费者的友好程度. 如果你一直在尽职调查保护敏感信息的话, 是否可以识别个人身份. 我们说的是控制和机密信息. 但是这些组织, 如果他们在做这些事情, 也能帮助他们免受潜在的减少诉讼的影响吗.
道格:
是的,绝对. 因此,一旦你介入或协助进行评估,你就有了这个差距分析. 那么,公司如何实施必要的事情来满足CMMC的要求,并证明完全遵守CMMC? 你如何从那里开始?
Ty:
如果我们做了差距分析, 我们和那个客户也变得非常亲密. 我们已经发现了差距. 我们几乎可以为此制定一个高层次的行动里程碑计划. 现在你的问题是,“他们是怎么做的?“有些人可能会尝试自己去达到那个成熟的水平. 我把它比作, 如果你从来没有为你的房子做过管道, 换掉空调上的过滤器,或者在这个现代时代更好的做法是在家里安装Nest恒温器:你出去雇佣一个专家. 这就是他们日复一日的工作. 希望你不会在法庭上为自己辩护. 如果你是一家大企业,你不会自己报税. 你有一个意图来帮助你,因为我们可以在水里航行. 网络也是一样.
所以很多时候, 如果你不想投入人力或者你没有it团队, 或者它不在你的托管服务提供商的掌控之中, 注册的提供商组织:意图是, 能不能从差距分析开始帮助你制定政策和程序. 帮助您编写系统安全计划可能是40页或50页的文档. 但更重要的是, 与你步调一致,以确保你达到你需要的目标. 我总是和人们聊天有时候我告诉他们这就像一个红色的漫游者. 我们的手臂是连在一起的,如果我们步调一致,你就能突破, 我们会把你安全送到那里的. 但你必须对变化持开放态度,你的文化必须准备好做出一些调整. 文化需要时间. 所以不要认为这是一个一夜之间的过程.
道格:
是的,绝对. 我喜欢你想出的这些很棒的比喻,泰. 这一直是我最喜欢的话题. 这些都是你从军时学来的,还是天生的?
Ty:
嗯,我觉得随着我年龄的增长,这部分变得更好了. 我从军队里得到的东西, 你和我在一起喝啤酒或波旁威士忌的时候应该谈谈.
道格:
我喜欢它.
Ty:
它不适合广播或[听不清00:21:45]播客. 不,那不是真的. 我在军队里遇到过一些伟大的领袖,他们教会了我很多. 教会了我很多关于纪律的东西. 真的教会了我很多关于诚信和建立人际关系的东西. 但是类比,我认为是显而易见的. 我和一群很棒的人一起工作. [00:22:03]. 另一件事是,如果你能以一种不需要超级技术的方式与人交流, 它消除了所有的模糊性,让人们更有参与感. 人们知道红色流浪者,人们知道舞会上的美女,知道舞会国王和舞会皇后. 所以当你说一种共同的语言,而不是TCP, IP, SSD时,你可以与人们有所不同. [相声00:22:32]一做这些事情,人们很快就会把我拒之门外.
道格:
是的. 说得好. 这是很棒的见解,我喜欢. 底线是如果有人... 如果你觉得你在以任何方式接触政府, 你最好给我们打个电话,跟泰和我们的专家团队谈谈. 看看你需要达到的目标,以及我们如何帮助你制定实现目标的路线图.
Ty:
如果可以的话,我想再加一点.
道格:
当然,绝对.
Ty:
一个和我们做生意的客户, 因为他们没有做自我评估,所以在他们的黄金时期就没有生意了. 现在我不再向他们要钱了, 但既然我们为他们做了自我评估,并在SPRS中提交了它, 自三月底我们与他们接触以来,他们已经赢得了18个新合同. 这是一个巨大的胜利. 这是一项他们没有得到任何回报的投资. 现在他们的收入要多得多.
道格:
太棒了. 是啊,这是一个很棒的故事. 谢谢你,泰,我们期待你的再次光临. 我一如既往地欣赏你的洞察力. 当然,如果你想要更多的商业技巧和见解,或者听以前的 不合适的,请访问我们的播客页面WWW.776kingston.com/播客. 当你在那里的时候,注册独家内容和节目笔记. 感谢收听本周的节目,一定要订阅 不合适的 在苹果播客,谷歌播客,或者任何你正在收听我们节目的地方,包括YouTube. 我是Doug Houser,下周继续 不合适的 与业内专业人士进行面试.
免责声明:
所表达的意见 不适合在意图电台播放 是我们自己的,并不一定反映意图的观点 & 比较靠谱的赌博软件. 该播客仅用于信息和教育目的,并不打算取代您在其他地方收到的专业建议. 就你的特殊情况向值得信赖的顾问咨询, 因此,他们可以根据您的具体情况专业地指导您找到最佳解决方案.